Группа ALPHV: Угрозы и риски от программ-вымогателей

Группа вымогателей ALPHV, также известная как BlackCat, продолжает представлять серьезную угрозу в области кибербезопасности. Используя модель «Программа-вымогатель как услуга» (RaaS), она предоставляет аффилированным лицам доступ к своим программам-вымогателям взамен на значительную долю прибыли, достигающую 80-90%. Такой подход не только поощряет киберпреступников, но и способствует реинвестированию заработанных средств для расширения возможностей атак.

Крупные инциденты и последствия

Деятельность ALPHV привела к значительным нарушениям в сфере кибербезопасности. Одним из ярких примеров является крупная атака на Change Healthcare в феврале 2024 года, в результате которой была раскрыта личная информация более чем 100 миллионов человек. Этот инцидент стал крупнейшей утечкой медицинских данных в истории США.

Анализ вредоносного ПО

Анализ вредоносного ПО, например файла «Asss1exe.bin», показал продолжающуюся вредоносную активность, способную повлиять на защиту организаций. BlackCat применяет передовые тактики для достижения своих целей, включая:

• Фишинг с целью получения информации через олицетворение;
• Методы обхода контроля учетных записей пользователей (UAC);
• Тщательную разведку для разработки атак против конкретных целей.

Механизмы атаки

Вредоносная программа запускается с помощью параметров командной строки, что позволяет ей определять свое поведение, используя токен доступа для выполнения. Она использует автономные двоичные файлы (LoLBins) и Windows API для обхода обнаружения, что делает ее действия менее заметными для систем безопасности. BlackCat также изменяет значения реестра, чтобы обеспечить горизонтальное перемещение и массовое шифрование файлов.

Основные функциональные возможности программ-вымогателей включают:

• Отключение параметров восстановления;
• Удаление теневых копий;
• Шифрование данных с использованием сложных методов, что делает файлы недоступными без ключей расшифровки.

Предотвращение угроз от BlackCat

Организациям, сталкивающимся с угрозой от BlackCat, настоятельно рекомендуется внедрять комплексные стратегии защиты. К ним относятся:

• Регулярные обновления программного обеспечения;
• Передовые решения для обнаружения конечных точек и реагирования на них (EDR);
• Обучение пользователей;
• Сегментация сети;
• Надежные протоколы резервного копирования.

Эти меры помогут свести к минимуму уязвимости и повысить устойчивость к появляющимся угрозам со стороны программ-вымогателей. Актуальность превентивной киберзащиты становится особенно очевидной в свете сложных методов, используемых такими группами, как BlackCat.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.